Windows AD DC中的域管理员与管理员

阅读了Microsoft Docs文章“ 默认 ”后，对这两个组的描述：

域管理员

该组的成员对域具有完全控制权。默认情况下，该组是加入域时所有域控制器，所有域工作站和所有域成员服务器上Administrators组的成员。默认情况下，管理员帐户是该组的成员。由于该组在域中拥有完全控制权，因此请谨慎添加用户。”

管理员

该组的成员对域中的所有域控制器具有完全控制权。默认情况下，Domain Admins和Enterprise Admins组是Administrators组的成员。管理员帐户也是默认成员。由于该组在域中拥有完全控制权，因此请谨慎添加用户。”

并且同一篇文章指出两个组对其默认用户权限的描述完全相同：

从网络访问此计算机；调整进程的内存配额；备份文件和目录；绕过遍历检查；更改系统时间；创建一个页面文件；调试程序；使计算机和用户帐户受信任进行委派；从远程系统强制关闭；增加调度优先级；加载和卸载设备驱动程序；允许本地登录；管理审核和安全日志；修改固件环境值；简介单个过程；剖析系统性能；从扩展坞中卸下计算机；恢复文件和目录；关闭系统；取得文件或其他对象的所有权。

此外，Microsoft Docs文章“ 默认本地组”包括对Administrators组的以下说明：

该组的成员对服务器具有完全控制权，可以根据需要向用户分配用户权限和访问控制权限。管理员帐户也是默认成员。该服务器加入域后，Domain Admins组将自动添加到该组...”

[强调我的]

鉴于以上情况，我不明白：

1. 它们之间有什么区别？
2. 何时在其默认化身中使用哪个？
3. 如何专门从事他们的活动？
4. 如果域管理员是管理员成员，这是否使他们始终相等？

该问题是该问题的子问题，并在该问题的上下文中被询问。加入AD的计算机的本地用户的上下文是域计算机帐户还是本地计算机帐户？

在将域控制器提升为该角色之前，它是一个简单的工作组（独立）服务器，并具有本地管理员帐户和本地管理员组。创建域时，这些帐户不会消失；它们作为域管理员帐户和域内置\管理员组合并到域中。

Builtin \ Administrators组具有对域控制器的管理访问权限，但没有自动授予对域中所有计算机的管理访问权限，而Domain Admins具有。

域管理员组和AD Builtin \ Adminstrators组（不是客户端上的本地管理员组）有效地向其中的用户授予相同的权限，但是存在一些细微的差异：

• Builtin \ administrators是域本地组，而作为域管理员，则是全局组
• 域管理员是内置\管理员的成员
• 域管理员是每台客户端计算机上本地管理员组的成员
• 内置\管理员组在那里提供与预AD系统的向后兼容性

这是一个简单而又复杂的问题。

简单的答案是始终使用domain admins组。

复杂的答案是，域管理员将admin赋予域中的所有内容（DC，服务器和工作站）。Builtin \ Administrators最初仅提供对所有 DC的访问权限（它是一个本地组，但会被复制），但不能访问服务器或工作站。但是，管理员对DC的访问权限使他们可以提升为域管理员。 因此，从安全性角度来看，它们是等效的。

Builtin \ administrators存在的主要原因是，检查管理员访问权限的程序可以检查任何计算机上的同一位置。

DC是您城堡的钥匙，您永远不能（而不是有效地）将管理员交给一个而不是另一个，也不是整个域，而不是整个域，因此不应有只需要本地管理员访问权限的程序/文件。

安装Windows时，默认情况下会创建bultin / administrators组。该组具有对计算机的完整且不受限制的访问权限。默认情况下，该组的唯一用户帐户是Administrator。

域管理员组仅存在于Windows域中。该组具有对整个域的完整且不受限制的访问权限，能够登录到属于该域成员的任何PC或服务器。

将PC /服务器添加到域后，域管理员组将自动成为内建/管理员组的成员，从而为域管理员提供了对计算机的管理员级别的访问权限。

如果将帐户从域管理员组移至内置/管理员组，则该帐户将能够管理该本地计算机，但只能执行其他操作，除非您将该帐户添加到其他内置/管理员组。